いま必要なマルウェア対策とは

みなさんは不正で有害なソフトウェアであるマルウェアが1日のうちどのくらい生み出されているかをご存知でしょうか？世界的なセキュリティ研究機関であるAV-TESTによると、2016年に検出された新種のマルウェアは1億2,750万件※1です。1日に換算すると、なんと約35万件ものマルウェアの生成が確認されています。実際には気づいていないだけでさらに多いかもしれません。

こうした現状に対し、従来のマルウェア対策だけでは十分な対処になりえないというのがセキュリティ業界の見解です。なぜなら、従来のマルウェア対策はシグネチャ(マルウェアの特徴や攻撃パターンを記録したファイル)をもとにマッチングを行い、シグネチャと合致したマルウェアしか防ぐことしかできないからです。

1日に約35万件のマルウェアが生成されている中で、ソフトウェアベンダーがそれらのマルウェアをすべて把握してシグネチャに反映することは現実的に考えて不可能です。このような既知のマルウェア対策としてもシグネチャの作成が追い付かない現状では、シグネチャが作成される前の未知のマルウェアへの対策までは到底できない、という非常に大きな問題もあります。

では、企業はマルウェアへ完全に対処する手立てはないのでしょうか？そんなことはありません。今回は、いま必要なマルウェア対策についてご紹介します。

サイバー攻撃によるマルウェア感染経路を整理しよう

サイバー攻撃を行う攻撃者の目的は、個人情報や機密情報の入手目的、破壊目的、金銭目的などさまざまです。さらには特定に企業への妨害や、政治的動機などからサイバー攻撃を仕掛けることもあります。

いずれの目的でも「まずはマルウェアに感染させる」というのが常套手段の一つです。ここではどんな経路でマルウェアに侵入されてしまうのかを整理します。

インターネットWebサイトから

マルウェアの侵入経路として最も多いのが「Webサイト」です。インターネットは我々の生活を豊かにしてくれたという反面、世界中がネットワークによって繋がることでプライベートスペースへの侵入が可能になっていて、インターネット上には無数の脅威が潜んでいます。

たとえば信頼のないWebサイトからダウンロードした無料のソフトウェアには、マルウェアが混在している可能性が大いにあります。ソフトウェア開発者が意図している場合も意図していない場合もあるので、見極めることは困難でしょう。

さらに、悪質なプログラムが仕込まれたWebサイトに訪問するだけでマルウェアを自動的にダウンロードし感染させてしまうという事例もあります。

メールから

メール経由でのマルウェアの侵入にも警戒が必要です。悪意をもって送り込まれたメールに添付されたファイルを実行してしまうとマルウェアに感染してしまいます。ならばファイルを実行しなければよいのでは？と考えるでしょうが、それが難しい現状にあります。

「標的型攻撃」といって特定のターゲットを絞り仕掛けるサイバー攻撃は、ターゲットの取引先や政府機関を装ってメールを送信します。添付ファイルも一見して怪しいと気づかれないよう細工が施されているので、知らずにファイルを実行してしまい端末がマルウェアに感染してしまいます。

過去にはこの標的型攻撃によって100万人以上の個人情報が流出したという事例もあります。

持ち込みメディアから

ユーザーが社内に持ち込んだUSBメモリやCD-ROM/DVDにマルウェアが仕込まれており、社内のパソコンにメディアを挿入することでマルウェアが侵入します。実際に端末が感染すると、攻撃者からパソコンが遠隔操作され情報を奪取されるなどの被害を受ける可能性があります。この場合、インターネットとの境界におけるセキュリティ対策を介さず直接社内パソコンに感染させますので、パソコンに対策を施していないと感染リスクが高まります。

このように、マルウェアの侵入経路は複数ありますしマルウェア自体は多種多様なため、従来のマルウェア対策では感染を防ぐことは本当に難しくなっています。

従来とは違う「いまどき」のマルウェア対策とは？

サイバー攻撃は日々高度化・巧妙化していて、その技術は年々向上しています。しかしそれと同時に情報セキュリティ対策も進化しているのです。攻撃手法などが変化しているため、当然それに対する対策も変化してゆかなければいけません。そのために最新の、あるいは、「いまどき」のマルウェア対策を講じることは非常に重要です。

こうしたいまどきのマルウェア対策、つまり次世代エンドポイントセキュリティの中で非常に重要な機能のひとつが「EDR (Endpoint Detection and Response)」です。

EDRは、ファイアウォールやIDS/IPSと違って聞き慣れないセキュリティ対策用語かもしれません。というのもEDRが定義されたのは2013年とごく最近のことで、日本では昨年（2017年）になってからその存在が浸透してきました。ですので、EDRについてその存在も概要も知らないという方は多いかと思います。

従来のマルウェア対策との違いは「端末上で攻撃を防げないことを前提とした、攻撃の検知とその後の対応に重点を置いている」点です。

従来のマルウェア対策はパターンマッチングによるマルウェアの検知と防止によるマルウェア対策を行っていました。しかし前述のように、マルウェアの侵入経路が複数あり日々多種多様なマルウェアが生成されている現状において、そうした従来のマルウェア対策の効果は日々薄れてきています。これに対しEDRは「エンドポイント」のアクティビティの継続的な監視と記録、分析により脅威や不審なふるまいを検出し、その後の対応まで支援するセキュリティ製品です。

EDRはよく「高性能なセキュリティカメラ」に例えられます。一般的なセキュリティカメラは映像を記録するだけですが、EDRは記録に加えて分析も行うため、怪しい挙動を検知してそれを通知します。さらに検知後の対応を支援するさまざまな機能を持つため、まさにネットワークセキュリティにおける超高性能なセキュリティカメラと言えるでしょう。

このEDRこそ「いまどき」のマルウェア対策のひとつです。従来のマルウェア対策は「感染や侵入を未然に防止すること」を目的に使われてきましたが、EDRは「感染や侵入を100％防ぐことは不可能」という現実を受け止め、万が一マルウェアに感染した後の対処を早めることで被害を最小限に留めることをコンセプトにしています。

「セキュリティに100％はない」とはよく言われる話であり、実際にサイバー攻撃が日々高度化・巧妙化している現状でセキュリティ対策が攻撃者を追い抜くことは不可能です。常に先手を打てるのは攻撃側です。

もしも皆さんの会社で、「マルウェア対策は専用のソフトウェアをインストールしているから大丈夫だ」という考え方をまだお持ちであれならば、それは危険かもしれません。いつ未知のマルウェアによっていつ端末が感染し、それによる情報漏えいなどのセキュリティ事件が発生するかは分かりません。

まず、従来のマルウェア対策では不十分なことがあることを正しく認識しましょう。そして、リスクを正しく認識し、適切な対応をすることで多くは防げることも事実です。「正しく恐れる」ことによって適切な対策が見えてくるでしょう。

マルウェア対策にお困りの場合は、ネットワークバリューコンポネンツまでご相談ください。お客様の現状を評価した上で最適なセキュリティソリューションをご提案いたします。

※1AV-TEST Security Report 2016/2017(https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.pdf)